本文导读
中国VPN推荐,能直接从中国大陆购买的电脑翻墙软件,具有最高安全性和隐私保护的科学上网工具,让你避开选择性执法,消除你在中国使用VPN时的顾忌和忧虑,让你能访问Google,Facebook,Twitter,Youtube等网站,通过VPN订阅国外Netflix、Hulu等流媒体服务。
本站是被墙的,你若此刻在中国还能打开,大概率不需要我科普什么是“翻墙”,你的电脑或手机一定开着翻墙软件。VPN或SSR,据我所知目前都很流行,V2Ray,WireGuard用的人貌似不多。其他还有一堆野路子,反正中国人翻墙就是八仙过海、各显神通。
如果客官是海外党,搜到我的文章,大概率是要回中国探亲或旅行。 你在国外早已习惯随时打开电脑、手机访问Google,Facebook,Twitter,Youtube,不需要安装特殊软件,除非你对个人隐私特别看重,才会考虑购买VPN软件。
在国外生活没有“翻墙”需求,你也可能从来未考虑过什么“科学上网”,但回到中国后,我保证你会觉得一个好用的VPN和川菜一样重要。
在中国没有翻墙软件,就用不了谷歌搜索,打不开Facebook、Twitter,看不了Youtube视频,不能在Netflix、Hulu上追剧或者追踪体育赛事,打不开维基百科,登录不了Messenger,Line,WhatsApp即时通信软件,甚至连用GMail回个工作邮件,去安卓官方应用商店更新个App都不行。
每天都有成千上万的中国人在找可靠的科学上网工具。本文推荐的中国VPN,10000%能用,因为我们自己也用。
如何在中国使用VPN不被选择执法?
好吧,希望我是杞人忧天,危言耸听。
大概没人觉得翻墙真存在什么人身“风险”,但从这几年,在中国使用传播VPN的风险正在增加。国内VPN提供商大量关停, GFW对翻墙软件的侦测能力越来越强,中国VPN用户难免担忧哪天被请去喝茶。
最近几年的一些报道:
目前选择执法的对象主要还是VPN传播者,绝对不要在中国国内互联网上传播翻墙软件和方法。
具备反侦查能力的VPN会越来越重要
对普通VPN用户,虽然现在个人翻墙被选择执法的可能性并不高, 以后的事,很难说。 GFW的能力越来越强,科学上网工具一定要选对,不然有风险。 使用私密性不够的VPN或非VPN软件,会冒更大风险,一个具备反侦查能力的VPN会越来越重。
如果加密就能翻墙防追踪,那么现在中国能用的VPN该至少有几百个,但事实是99%的VPN提供商已经被墙,被关或被抓,现在真正能稳定穿墙又能反侦测的可能不超过10个。
“翻墙”是如何被侦测到的?
不要以为你能翻墙,就很安全。
国内网络通过有限的几个出口节点,它们是网络流量必经的枢纽。 用户的VPN“翻墙”流量,会100%经过这些节点,此时防火墙可以在某个节点根据VPN传输的信息流来识别IP地址,进而追踪到用户所在ISP和地址,中国的宽带互联网是实名的,一旦被识别IP,就等于找到你的人。
现在中国所有能翻墙的VPN都有加密功能,但不是所有的VPN都能有足够好的加密功能,把流量特征隐藏到GFW无法识别的地步,这种反侦查技术只有高端VPN才有。
高端VPN反侦测靠的强大的混淆算法和对协议隐藏,本质都可以追溯到加密,只不过不只对网络用户数据的加密,还对对网络元数据加密。
元数据,如网络传输过程中的源IP地址和目标IP地址等敏感信息,前者为用户电脑的IP,如果被侦测到,防火墙就可以切断从用户设备发出的所有流量,并搜集到用户真实的上网身份;后者为VPN服务器IP,如果被侦测到,防火墙就会把它放进黑名单,这个服务器就永远也不可能连上了。
除了混淆以及对元信息进行保护,高端VPN还提供DNS防泄露,重连自动断网等功能,进一步保护用户隐私,确保VPN上网的匿名性。
中国VPN推荐
不止能用,还要安全
1. ExpressVPN
最好,最贵,最稳定,客户端支持最全,最安全,隐私保护最好,口碑最好,国内外被推荐最多
下面我们做的VPN评测是以ExpressVPN为标杆的,不考虑价格,它是目前最值得信赖的VPN。
公司注册地 | The British Virgin Islands |
运营历史 | 10年+ |
口碑 | [icon name="smile" class="3x"] |
服务器节点 | 90+个国家,160+区域,3000+服务器 |
适合中国的节点 | 香港、日本、美西、英国、澳洲、新西兰 |
不翻墙购买 | [icon name="smile" class="3x"] |
支付宝、微信或银联付款 | [icon name="smile" class="3x"] |
试用 | [icon name="smile" class="3x"] |
24×7客服 | [icon name="smile" class="3x"] |
中文客服 | [icon name="frown" class="2x"] |
免费版 | [icon name="frown" class="2x"] |
退款政策 | 30天 |
同时连接数 | 5 |
服务器不留日志 | [icon name="smile" class="3x"] |
支持设备 | Windows [icon name=”windows”],MacOS [icon name=”apple”],Linux [icon name=”linux”] Android [icon name=”android”] ,iOS [icon name=”apple”] 路由器 Chromebook Kindle Fire,Nook Chrome [icon name=”chrome”] ,Firefox [icon name=”firefox”] PlayStation [icon name=”playstation”] ,XBox [icon name=”xbox”] ,Nintendo Switch Apple TV [icon name=”apple”] ,Amazon Fire TV Chromecast [icon name=”chromecast”] ,Roku,Nvidia Shield |
独立客户端下载 | [icon name="smile" class="3x"] |
中文客户端 | [icon name="frown" class="2x"] |
无硬盘服务器 | [icon name="smile" class="3x"] |
加密 | AES-256 |
协议 | OpenVPN(UDP/TCP),L2TP/IPSec,PPTP |
P2P下载 | [icon name="smile" class="3x"] |
网速影响 | -19% |
Netflix | [icon name="smile" class="3x"] |
Hulu | [icon name="smile" class="3x"] |
BBC iPlayer | [icon name="smile" class="3x"] |
Amazon Prime Video | [icon name="smile" class="3x"] |
Kodi | [icon name="smile" class="3x"] |
智能连接(Split Tunneling) | [icon name="smile" class="3x"] |
自动重连 | [icon name="smile" class="3x"] |
支持Kill Switch | [icon name="smile" class="3x"] |
100% IP隐藏 | [icon name="smile" class="3x"] |
100% DNS防泄漏(DNS Leak Protection) | [icon name="smile" class="3x"] |
价格 (最终价格以官网为准) | 买一个月 $12.95每月 买一年 $8.32每月 (送3个月) 买6个月 $9.99每月 |
优惠 | 买一年送3个月 |
其它 | ExpressVPN已通过普华永道隐私保护机制审计 |
更多VPN,我们还在评测中 …
翻墙软件、科学上网问答
我们为什么翻墙?
不要假设翻墙的目的就是和外国人一起来诋毁自己的国家和同胞,如果你翻墙是为了伪装成民运分子,请你现在就滚。本站编辑都在国外生活过,我们没有一个人对国外的所谓民主和自由不充满警惕。
反正我们翻墙是为了用谷歌,看油管,追剧,刷Twitter以及其它许多有趣有意义的事,我翻墙不是为了每天去刷各种民运网站的所谓“新闻”,那些东西我们觉得恶心、失望。
长城防火墙(GFW)有多厉害?
…
针对TLS的SNI阻断
虽然TLS能保证全程内容加密而且发现连接被干扰时警告并中断,但是对于SNI信息仍然是未加密的,仍可以被识别出访问域名。从2018年8月24日开始,开始出现基于SNI的检测机制,维基百科部分项目、日本亚马逊等启用https服务的网站同样被封锁。
…
针对TLS的证书传输检测
由于TLS在握手期间,服务器传输站点证书时同样也是明文传输的,防火长城可以对证书的信息进行检测,从而是否需要被拦截的站点而中断TCP连接。
自2017年9月19日起,防火长城开始启用CA证书检测,若经过防火长城时,一旦探测到相关域名如:Google,Facebook,Youtube,Twitter,WhatsApp的CA证书,对应IP通信会被拦截切断。若使用SNI服务器IP反向代理部分域名也会被拦截(网站会提示ERR_CONNECTION_CLOSED 意外终止了连接),但并不是全部IP都会被拦截,可用IP极少。拦截只针对经过出口路由上。
…
对破网软件的反制
因为有防火长城的存在,大量境外网站无法在中国大陆境内正常访问,于是大陆网民开始逐步使用各类翻墙软件突破防火长城的封锁。针对网上各类突破防火长城的翻墙软件,防火长城也在技术上做了应对措施以减弱翻墙软件的穿透能力。通常的做法是利用上文介绍的各种封锁技术以各种途径打击翻墙软件,最大限度限制翻墙软件的穿透和传播。
同时根据中国大陆网民反映,防火长城现已有能力对基于PPTP和L2TP协议的VPN连接进行监控和封锁,这使得大陆网民突破防火长城的封锁变得更加困难。2015年1月起,部分国外VPN服务在中国大陆无法正常使用,这些VPN使用的是L2TP/IPSec和PPTP协议。
…
摘自:维基百科
更多关于GFW:
为什么绝大多数VPN中国用不了?
非常多的VPN,尤其是免费VPN其实来自中国,对政府来说追踪并关停它们很容易。
那为什么那么多国外VPN中国也用不了?原因很多,总的来说,GFW识别能力越来越强:
大多数VPN服务器都进了黑名单
国家出口网关路由器是中国国内所有ISP线路的必经之路,边境网关阻断到黑名单里的IP地址或地址段的服务,通过黑名单IP地址或域名来限制对世界上任何服务器或网站的访问,从中国流出的每个比特都被强大算法监控、过滤。
世界上没有单个服务器能长期走VPN流量而不被发现,而大多数VPN提供商没那么大预算保持服务器换新,它们拥有的服务器资源很有限,VPNArea,Keenow,CactusVPN以及其他许多VPN厂商的服务器已经全军覆没,在中国用这些服务是永远也连不上的,因为它们的IP全部进了黑名单。另外,一般VPN服务商没有强大的技术团队去开发反侦查技术,这不是一次性的工作,而是和GFW比拼技术的长期韧的战斗。
高端VPN服务商有足够预算支持服务器换新(这个过程对用户是透明的),每一台可连的服务器背后,可能有几台或者几十台备用服务器,这是他们始终能连得上的重要原因。而且他们有钱雇佣业内顶尖的密码学、计算机网络方面的技术人才,开发能够反侦查的加密和混淆算法。
对OpenVPN协议的侦测与攻击
OpenVPN是中国和世界各地建立私有网络的最流行协议,由于其在企业网络中的实用性,政府无法完全关闭它。
但GFW在寻找未经授权的OpenVPN流量时正变得越来越强,个人在中国境外设立的OpenVPN服务器,几小时内、最多几天内就会被墙。已经有VPN厂商通过端口443路由OpenVPN流量,企图将OpenVPN伪装成HTTPS,这种手段已经失效。
L2TP/IPSec协议被破解
GFW能很快识别到L2TP/IPSec协议,这个理论上安全的协议,已经被证明越来越不好用,在此协议上检测翻墙流量,网络会被立刻切断。
ShadowSocks协议被攻破只是时间问题
如果你觉得ShadowSocks(包括ShadowSocksR)能一直稳定使用下去,你可能要失望,这两年越来越多的个人或第三方“机场”IP被屏蔽,导致中国大量网民四处找可用SSR节点。
这是过去一年来来停止工作的中国VPN,我们没有列出数以千计的被墙的非VPN类应用:
为什么有时候一线VPN在中国也会用不了?
在中国的网民都知道,VPN服务暂时无法使用,一般是敏感政治事件的信号。
每年两会期间中国VPN一定会连不上或速度变得奇慢,要等会开完才恢复,这不是一两个VPN的情况,所有的VPN都会这样。
每个中国新年,每个公共假期如国庆节,ISP都会对进出中国的流量进行大幅限速,你会感觉打开国外的任何网站都很慢,而打开国内的网站却很快。
钓鱼VPN服务商,他们由官方主导,为中国网民提供“免费”VPN服务,但只要用户一旦使用,家里的宽带就会失去由电信运营商分配的IP地址,以致不能上网。
在这些时间段,如果只是访问Gmail等小流量应用,一般都没问题,但如果是油管看视频这样的大流量应用,中国VPN用户能做的可能就是等,风头过去网速会恢复,原来能用的VPN也会恢复。
为什么VPN服务商注册地很重要?
因为VPN提供商必受注册地法律监管,所以显然你不会选择注册地在中国大陆服务,原因不需要我说吧。
不幸的是,有调查表明:
另一方面,如果你在国外下载盗版资源,你显然不会买注册地在英美澳等版权法及其严苛的VPN软件,否则要是被服务商出卖,你是真的要坐牢的。
VPN软件的运营历史重要吗?
运营多久不重要,重不重视中国VPN市场才重要。
市场上也存在运营时间很长“很靠谱”的VPN软件,可惜他们根本不重视中国市场,服务再好也跟我们没关系。
这种国外VPN其实不少,一些老牌的VPN厂商因为运营中国市场成本太大,最近几年都放弃中国而只专心做国外市场了。
国外VPN用户的主要需求是保护隐私,年轻用户主要是为下载盗版不被抓,它们没有所谓“翻墙”的需求,所以VPN选择很多,且满足隐私保护需求,厂商往往无需投入太多,所以你会看到国外流行的VPN可以卖得很便宜,因为能帮中国用户翻墙的VPN要投入多得多的资源,这能很好地解释ExpressVPN和NordVPN之间为什么价格差距如此悬殊,ExpressVPN是真正能稳定翻墙的VPN,NordVPN的中国翻墙服务要比ExpressVPN低几个档次,然而NordVPN在国外仍然很火。
不过,无论如何,如果有一个国外VPN,运营了10年以上,而且还在被各个中英文网站推荐,那么是不是它的运营时间很值得参考呢?我们认为是这样。好比ExpressVPN,已经运营10年+,目前仍然是各类中国VPN推荐网站的首推VPN软件,这当然是对服务质量最直观的肯定。
口碑可信吗?
互联网上的“口碑”是把双刃剑。
我们以某国外“知名”VPN为例,价格便宜,客户端设计我们也很喜欢,服务器节点也多,我们在过去半年内试用过多次,都发现它无论在安卓还是在苹果手机上,都无法连上。我们Google了该软件针对中国大陆的设置技巧,但完成配置后,仍然无法连接。当时我们觉得非常纳闷,一款在中国根本用不了的VPN,为什么能得到这么多人推荐?后来我们得知,原来网上那么多人推荐它,只是为了赚取最多的佣金而已,并非因为他们亲自使用评估过它。这是互联网“口碑”具有欺骗性的地方。
所以翻墙软件口碑只是一个参考因素,最终要试用过,看VPN到底能不能用,考察硬性指标如支持的设备,连接数,关键功能的支持情况过后,才能最终确定所谓的“口碑”是真的还是刷的。
是不是VPN节点越多越好?
对中国VPN用户,连不上的节点再多,都没有意义。
VPN服务器节点再多,适合中国VPN用户的也就那么些地方,要么地理上离中国大陆近:香港、日本、韩国,要么到中国海底光缆与路由线路优的如美国和近几年改善很快的新加坡、英国、澳大利亚甚至新西兰。
总体来说中国大陆到欧洲大陆各国,非洲各国,南亚各国,中东各国的线路是不理想的。
所以即使VPN服务器遍布全球,大部分节点中国VPN用户也享受不到。相比全球节点数量,更重要的其实是中国附近地区的服务器节点数量。一个VPN服务商可以在法国德国部署上百服务器,但那对我们没有任何意义。相反如果一个VPN服务商在香港地区多部署几组服务器,对众多中国翻墙用户会很有用。
另外,现在的云服务器很便宜,容器技术也让快速架设VPN变得可能,有一些小VPN服务商就会大量购买全球第三方廉价云主机来架设VPN服务,给人他们家服务器节点很多的印象,其实只是硬件和网络都很廉价的服务而已。而品牌VPN通常都是自有定制高性能服务器,从根本上保证服务的安全和稳定。
适合中国的VPN服务器
通常离中国大陆近的通常及稳定又快,但有时候物理距离近也不等于网络质量好。
香港是中国VPN连接的首选节点,连接速度快且较为稳定。速度快很多时候代表丢包率低,所以快和稳定是一堆孪生兄弟,VPN服务要么又快又稳定,要么是又慢又老是断线,这不是没有道理的。香港有地利之便,距离近,出口带宽大,又是国际网络港口,VPN流量很多,如果把自架和第三方的都算进去,香港可以说是中国的翻墙桥头堡。
日本的节点不多,绝大多数都走东京机房,但联连通率很高。
美国的连接质量也不错,尽管Ping值高,但因为海底光缆直连,所以速度通常都不错,至少看油管是没问题的。我们自己的经验里,目前美西的节点仍然略优于美东,除极少数时段外,美西洛杉矶比纽约的稳定性和速度都好不少。
新加坡、韩国、台湾节点的服务器没有香港、日本、美国等地可靠,我们不不确定是什么原因,我们用过的新加坡节点质量普遍不如美国节点质量,虽然新加坡离我们比美国近很多;韩国的节点不确定性很大,又时候可以非常快,有时候却怎么也连不上,台湾的节点也是这样。总的来说,新加坡节点不分VPN,质量都一般,而韩国、台湾节点则依赖于VPN,有的产品里韩国节点非常好用,而换一个VPN台湾节点会非常好用。
令我们倍感意外的是英国、澳大利亚(墨尔本),新西兰等离中国大陆十万八千里的地方反而比东南亚如泰国、马来西亚等地的连通率和速度好很多,这着实有点让人摸不着头脑,具体原因恐怕还得看国际海底光缆和地区局部网络拥塞程度。
为什么不翻墙就能购买VPN很重要?
“买翻墙软件必须先翻墙”,这听起来会很奇怪,不是吗?
绝大多数用户之所以要购买付费VPN,是因为手上没有能用好用的VPN。如果VPN服务商自己不多走一步,让自己的产品能被广大中国用户不用翻墙就能访问到,那还怎么指望用户能成功买到自己的服务呢?很多国外服务商一边说自己的服务多么多么好,但不肯为中国用户做几个能访问的镜像站点,结果就错过了世界上最大的翻墙软件市场 。
为什么VPN支持支付宝、微信付款很重要?
因为中国用户习惯了用微信支付宝付款。
支付宝和微信是中国VPN用户的首选支付方式,在中国几乎没有人日常用PayPal,用信用卡都很少。如果一个翻墙软件要服务中国用户,就一定要支持支付宝(或微信) 付款 ,再不济,支持一下银联卡也行吧。
VPN是否提供免费版重要吗?
没那么重要,因为免费的资源总是不够分,所以免费版都是鸡肋,也无法凭免费版判断付费版服务的好坏。
其实如果你在找免费VPN,可以去谷歌官方应用商店或者苹果(美国)官方商店去搜一下“VPN”,起码能找到上百款免费VPN。
我们不推荐免费VPN,倒不是很多网站上鼓吹的会泄露隐私或者一些无良厂商的不道德软件,这当然也重要,但更重要的,还是因为免费VPN不好用,常常是装了一堆免费VPN,一个个试,试半天也找不到真正连起来快,速度稳定的。
任何网络服务的容量都是有限的,有的VPN不作任何限制,用户一窝蜂涌入服务器,拥挤到服务根本没有可用性。有的免费VPN强制用户注册才能使用,但这个门槛太低,并不解决拥堵问题。
很多免费VPN的商业模式基本靠广告,要想靠广告来维持住一个VPN服务的软硬件和人员费用,就得有大量用户,而大量用户又势必增加服务器成本,这种商业模式很难在长期为用户维护一个对所有人都高质量的服务。
所谓天下没有免费的午餐,因为免费的午餐大家都想吃,再多也会很快被吃完。
所以有相当多免费VPN服务商最终都实际上放弃免费模式,而把更多精力放到付费VPN服务的打磨上面,因为只有这样,在商业上才是可持续的。
试用是否重要?
有了无理由退款,试用其实没那么重要,国外VPN厂商的服务承诺是100%真的。
一线翻墙软件都提供至少7天的无理由退款。
哪怕你付了钱,也能有足够的时间用用看产品是否满足需要,如果你不满意,就可以全额把钱拿回来,这样试用的意义就有限了。
虽然有些翻墙软件厂商仍提供一定期限(7天,30天)的免费试用,但这完全是一个销售策略的选择问题,它本身不代表任何VPN服务本身的质量。
提供免费试用是有代价的,往往试用人群占去的资源会高到厂商无法忽略的程度,如果将试用用户和付费用户放在一起共享资源,就有可能对付费用户不够公平,如果将试用用户隔离开来,为他们分配专属资源,又未必能体现真正的服务质量,且会增加运维成本。
事实上,有的翻墙软件公司确实会为了更好地把试用用户转化为付费用户,为试用用户分配过量资源,这些用户过了试用期,发现服务质量有所下降,却又不知道为什么,他们的期望一直是付费后服务质量应比试用期更高,然后很多时候都不是这样。所以我们建议你,在选择翻墙软件的时候,不要过分关注免费试用,厂家有无理由退款就行了。
为什么翻墙软件最好提供24×7客服?
因为在某些特殊时期,客服是最后的救命稻草。
每年六月初、国庆、年初开会这几个固定时段,或者杂七杂八的突发政治敏感事件,所有的翻墙软件都会变得不稳定,有的甚至会完全不能用。
中国的网络防火墙似乎会进入白名单模式,你并不知道网络哪天连不上或者慢得无法忍受,当它发生的时候,你需要联系客服,这时候客服会提供给你最关键的信息。
比如他们开通的临时镜像站点,到那里去下载更新最新客户端,通常这时候VPN厂商都会发布针对性强的客户端版本,对加密混淆算法进行一次全面升级。
有客服,哪怕只有邮件客服,你至少能在第一时间知道对方有没有改善连接质量和速度的临时方案,不用干等。
中文客服重要吗?
客服会说中文当然最好,但你既然有翻墙的需求,想必英文也不烂吧 🙂
目前绝大多数能用的中国VPN翻墙软件都是国外厂商开发的,它们几乎都不提供中文客服,也有少数海外华人创办的公司会提供中文客服。对中国VPN用户来说,有中文客服自然要方便很多。不过因为绝大多数翻墙软件用户多少都有一点英文基础,结合在线翻译工具,即使对方客服不会说中文,也不是很大的问题。所以厂商能提供中文客服是锦上添花,有最好,没有中文客服,只要能提供好的英文客服也可以接受。
退款政策很重要
GFW进化得很快,冷不丁刚买能用的VPN一个礼拜后就不能用了。
一线翻墙软件都提供7天或30天无理由退款,就是购买7天或30天内发现任何不满意,可以不需要任何理由要求对方退款,所以用户可以放心购买。
退款发起方式一般有两种,一种是通过网站后台,另一种是直接联系客服(提交工单或在线交谈),国外的软件厂商在协议内退款都很爽快,反正我们自己从来没碰到过没有猫腻。
退款一般都会退到你购买VPN时用的支付方式(如支付宝,PayPal,信用卡等),退款需要时间处理,一两天到一两周都有,耐心等等,如果时间太久,及时联系对方客服,对方一般都会帮你查。
在这里我要提醒一下,不要企图滥用国外翻墙软件的退款政策,一旦你的支付帐号进入黑名单,以后在国外买东西会很难,切记!
你需要多少同时连接数?
越多越好。
现在一线VPN都提供3个以上的同时连接。
所谓同时连接,打个比方,你有一台iPhone,一台iPad,一台PC电脑同时翻墙上网,这三台设备各自需要安装VPN客户端,分别连上远程服务器(不一定连同一地点的服务器),这样就产生了3个同时连接,如果你还有一台Android手机也要科学上网,如果VPN只允许同时3个连接,那么它就上不了网了,你的先前的三台设备中选一台断开连接,Android手机才能连上。
随着电子设备普及,更新速度加快,一个人同时拥有好几个电脑、好几个手机、多个平板、智能电视都不再稀奇,这些设备都需要科学上网,但往往受同时连接数限制,这时候有两种解决方法,第一种是再买一个翻墙软件的拷贝,一个拷贝如果允许5个同时连接,两个拷贝就是10个同时连接,应该也够用;另一种方法是把翻墙软件的客户端安装到路由器上,所有设备都通过链接路由器WIFI上网,达到共用一个VPN连接的目的,无论设备有多少台,只要连上路由器就能翻墙,这是成本最低的多设备翻墙方法,不过路由器设置可能需要费些周折,好在一线翻墙软件都考虑到了这一点,它们提供方便安装的路由器客户端,支持主流路由器型号,安装方便。
VPN服务器留不留日志很重要吗?
隐私重不重要,重要,但有多重要,每个人有不同的答案。
连上VPN后,用户本机流量会经过VPN服务器,服务器留不留日志,是VPN厂商的决定。
那么VPN服务器留不留日志对你有多重要呢?如果我们有选择,当然不喜欢我们的上网记录被记录在某台我们自己无法管理的机器上,只要记录存在,就有泄露的风险,尽管这种风险可以很小,因为普通上网活动无非浏览网页,购物,听听音乐,看看电影,这些活动通常只是隐私泄露风险,而不给我们自身带来法律风险。即使泄露,我们也最多只是感到不快。
除非你用VPN来从事黑客或盗版等非法活动,否则翻墙软件服务器端留不留日志对你几乎没有影响。绝大多数一线VPN只保留用户日志有限的时间,即使有隐私泄露风险,也是可控的。
VPN该支持哪些设备?
当然能支持所有设备最好,但至少得支持手机和电脑吧。
目前最常用的上网设备是电脑,按操作系统可以分为Windows PC电脑,MacOS电脑和Linux电脑,很多人用电脑翻墙软件。手机,基本就是Android和iOS的天下;智能电视,基本就是Apple TV和基于Android的TV,后者又有很多细分,比如Amazon Fire TV,国内的小米电视,天猫电视等;游戏机,基本就是PlayStation,XBox和Nintendo的设备,包括最新的Nintendo Switch;路由器,如NetGear,TP-Link等等常用路由器品牌。选购VPN要看清楚产品是否支持你所需要的设备,通常厂商都会在官网披露,一线VPN都至少支持各种电脑和手机系统,如果你只是在电脑和手机上用基本不用担心,现在的VPN产品都会支持,如果你想在非电脑或手机上用VPN,就要仔细看看。如果你实在没有时间来区分,不妨直接买ExpressVPN,这是目前设备支持最全面的VPN产品。
为什么独立VPN客户端很重要?
独立客户端,就是无需连接安卓或苹果官方应用商店,也能下载的客户端。
国内的Android,iOS手机用户,你大概不想为了装个VPN软件,而不得不兜个很大的圈子去安装Google Play Store,或者去注册苹果美国ID。独立可下载的VPN客户端很重要,是因为买好VPN后,你能立刻翻墙上网,而不需要费周折先去安装官方应用商店,其实那本身就是要翻墙的,所以,如果一个面向中国的VPN只提供从谷歌或苹果官方应用商店下载客户端,而不提供VPN官网直接下载客户端,它对中国用户就没什么可用性了,很可能出现花了钱却下载不了客户端的窘境。
本文推荐的中国VPN,都是有独立客户端可以下的。
关于客户端中文支持
你的英文应该没那么烂。
VPN客户端是否支持中文重不重要?答案因人而异。
我们相信绝大部分的中国VPN用户多少都学过英文,看懂软件配置和界面提示文字应该是没有问题的,即使有部分技术配置不熟悉,也能借助翻译软件看懂,况且一线VPN客户端的使用基本就是点个按钮链接,选一下服务器节点这些十分简单地操作,和语言本身无关。所以VPN客户端支持中文最好,但如果不支持中文,也不会影响使用。
为什么VPN自动重连很有用?
因为方便。
没有哪个VPN是全天24小时都不会断线的,绝大部分VPN,哪怕是一线VPN,一天也至少会断线个几次,碰到网络防火墙控制得紧的时候,断线可能达十几次甚至几十次。如果VPN不能自动重连,用户每次就得手动去连,一次两次还好,次数多了就很烦了。如果断线时正好工作忙碌或者几种注意力学习游戏的时候,思路就会被打断,或者得切出游戏界面去手动重连VPN,还得等待确认它成功连接才能继续。如果VPN软件能自己自动重连,那么当连接中断的时候,用户只需要稍微等一等即可,不需要进行任何操作,手头在做的事也不会被打断。
一线VPN的断线重连往往比手动重连要智能很多,它能自动(在内部)选择当前状态更好的服务器,避开繁忙的服务器或者不稳定的线路,所以你会发现自动重连的成功率一般都比你自己手动去重连要高。
为什么隐藏IP地址很有用?
因为暴露真实IP等于暴露物理地址,也因为非真实IP能让你看到你本来看不到的片,下到本来不敢下的资源。
在中国,IP地址等于你的物理地址,宽带注册是地址实名的,手机也是实名的,要定位你非常容易。
除了保护上网隐私,VPN还能帮你突破国外服务对中国大陆IP的限制。连上VPN后,你访问的任何网络服务如都会以为你的真是IP地址是你正连接的那台VPN服务器IP地址,它无从知道你的真实IP地址,这非常有用,因为国外如Netflix这样的服务不对中国大陆开放服务,中国用户如果想看Netflix,就可以先连上VPN(选择Netflix提供服务的国家的节点),就可以想国外用户一样享受Netflix服务了。
另外,海外党在国外不敢用P2P下载,因为怕被学校或ISP监控到,造成严重后果(国外下载盗版可能被抓),其实可以借助VPN工具,下载时便可隐藏身份,因为虽然下载流量最终还是要到本机电脑,但因为开着VPN隧道,中间网络节点无法得知本机真实IP,所以就比较安全。
为什么DNS泄露保护非常重要?
GFW通过DNS污染来屏蔽某些域名, 所以域名解析必须不走国内DNS。
比如你从中国访问www.youtube.com,从域名到油管的IP地址要通过DNS服务来解析,如果没有DNS防泄露保护,不对解析请求加密签名,你的域名解析请求很可能通过国内DNS服务器,这个服务器返回的可能是一个假IP(DNS污染),而且国内的服务器立刻知道发起这个DNS的请求方信息,你泄露了关键的上网隐私。
DNS泄露保护的基本原理是VPN用私有的DNS服务器,而不是将DNS请求“泄露”到公共域名解析服务器。只要连着VPN,本机产生的DNS流量都会通过VPN加密通道发送到VPN服务商提供的安全DNS服务器,返回的结果也仍通过VPN加密通道传输,第三方无法追踪或篡改。即使在机场,咖啡馆和其他公共WiFi热点等不太安全的区域,您的DNS请求也始终能够到达目的地。
公网DNS服务器会记录流量中的个人身份识别数据,例如你尝试访问哪个网站的时间和地点。有权访问该服务器的人都可以查看你DNS日志。支持DNS泄露保护的VPN服务内置的DNS是零知识,个人身份数据永远不会存储在任何服务器上,也就无法追踪。
为什么Kill-Switch(自动断网保护)很重要?
当你的VPN连接中断,你不希望有网络流量,因为它们都会被泄漏。
如果您的VPN连接中断,网络锁将立即阻止流量进出设备。通过停止所有在线活动,防止个人信息暴露给互联网服务提供商(ISP)或其他窥探者。网络锁定意味着你永远不必担心连接失败会危及安全和隐私。自动断网可确保设备不泄漏你的IP地址或位置,也不会在不受VPN保护的情况下发送任何未加密的数据,这可以防止身份和通信被第三方观察或拦截。
当WIFI信号不稳定,设备进入睡眠状态,ISP暂时中断,或VPN连接暂时中断重连, 支持Kill Switch的VPN会自动中断流量,直到VPN重新连上。
为什么隧道分离(Split Tunneling)很有用?
因为有了它,你可以一个浏览器走VPN翻墙访问外网,另一个浏览器不走VPN直接访问内网,大家互不干扰。
VPN是底层网络服务,被设备上所有应用共享,以前用VPN的一个痛点是连上VPN发现访问国内网站变得很慢,因为流量要走VPN通道,绕一个大圈,Split Tunneling解决了这个问题。
如果VPN不支持拆分隧道,您可能会遇到以下情况:无法同时访问外国和本地互联网服务,通过VPN传输所有数据会占用带宽,当连接到VPN时,无法访问LAN设备。使用拆分隧道VPN,你可以从本地IP地址使用Web服务时流式传输外国电影,安全下载而不会减慢其他网络活动,安全上网时访问网络打印机。
为什么安全无硬盘服务器很重要?
因为这是真正意义上的无日志,服务器即使被控制,也只需断电即可抹去所有资料。
可惜这种安全性目前只有ExpressVPN才做得到。
想象一下你连接到的服务器是不定时重启的,每次重启都会重置整个系统,而且服务器没有硬盘,运行时数据都在内存,每次重启内存中的数据会因为断点而消失,是不是安全很多?如果服务器有硬盘,上面记录着系统运行数据(如系统日志),而且服务器不自动重启重置,那么当有第三方通过强制(如政府)或非法(如黑客)手段获得服务器控制权时,里面的数据就完全暴露了。
无硬盘服务器是目前VPN行业最高级别的安全与防隐私泄露机制。
什么VPN协议穿墙能力最强?
没有哪个VPN协议是无懈可击的,只有相对可靠的。
OpenVPN
提供军用级AES-256位加密以及2048位RSA身份验证和160位SHA1哈希算法,跨平台兼容,可以将它与几乎任何主流操作系统和平台一起使用。 OpenVPN协议有两种不同的变体,OpenVPN TCP和OpenVPN UDP。OpenVPN-TCP确保数据可以通过互联网可靠地传输,保证数据的传递。OpenVPN-UDP更关注低延迟率而不是可靠的数据传输。换句话说,UDP可确保您的数据按时交付。它通过减少检查次数来实现,最终导致低延迟。尽管减少对数据包的检查数量确实使UDP非常适合游戏和视频流,但它也会降低可靠性。
L2TP/IPsec
L2TP或第2层隧道协议本身根本不提供任何加密。 它始终与IPsec配对,后者是加密协议。一旦结合使用,L2TP / IPsec可以提供强大的隐私和安全性。 它与大多数移动和桌面客户端兼容,提供256位军用级加密。
SSTP
安全套接字隧道协议是一种非常稳定但功能强大的VPN协议。 最初是与windows vista一起推出的,它是微软最强大的产品之一。它几乎集成在运行微软Windows操作系统的每台机器上。SSTP也非常安全,使用2048位SSL / TLS证书进行身份验证,使用256位SSL密钥进行加密。除了兼容Windows并且能够运行Winlogon或智能芯片等软件外,SSTP还兼容Mac,Android,Linux,iOS和BSD系统。
IKEv2
IKEv2或Internet Key Exchange版本2是Microsoft和cisco开发的协议,常与IPsec一起使用。它本身与Windows,Blackberry,iOS,Linux和Android设备兼容。
PPTP
PPTP是最古老的协议之一,所以它几乎已经过时了。 它始于1995年,一直被更快更安全的VPN加密协议所取代。话说回来:PPTP还没有被完全丢弃,事实上,它仍然存在,并且主要用于速度优于隐私的情况。说到隐私,PPTP不再像过去那样安全。 不用说,您不一定要将此协议用于敏感数据。
SoftEther
与OpenVPN类似,SoftEther是一种开源VPN协议。早在2014年发布,SoftEther从那时起迅速普及。SoftEther与OpenVPN非常相似,事实上,它甚至使用相同的安全协议(即具有256位AES加密的SSL)。SoftEther为各种平台提供了广泛的支持。 Linux,Windows,Mac,Android,FreeBSD和Solaris操作系统都包含在此协议中。
在保护您的在线隐私方面,SSTP,L2TP,OpenVPN和SoftEther都不错。 SoftEther是一种多VPN协议,因此,您可以在中国境内使用SoftEther来实现在线安全性和匿名性。如果是访问流媒体网站,可以用PPTP,L2TP和OpenVPN协议来安全地解锁访问,但是必须使用混淆方法。然而基于SoftEther和SSTP开发的VPN产品极少,由于保护能力差。市场上已经基本见不到PPTP协议支持的VPN。
谁是中国最佳VPN协议?
OpenVPN因为常见于企业使用,中国政府没能完全屏蔽,目前来看仍是相对最可靠的VPN协议。
更多GFW对VPN协议的信息请看为什么绝大多数VPN在中国不能用?
什么加密最有效?
只有数据高加密是不够的。
还要数据包报头本身需要针对中国的防火墙和DPI系统进行保护,类比来说就是只对信件本身加密是不够的,还要对信封元数据(地址)进行加密保护。我们看到在我们的测试中成功使用的VPN无一例外使用了下一代混淆来隐藏他们的服务器(IP),使其避免进入互联网审查系统的黑名单。
大多数VPN提供商虽然都提供高级加密,但没有能力开发特殊的混淆算法,所以他们无法击败长城防火墙,导致他们的特征流量很快被GFW只被,现有的服务器已全部进黑名单。到这些服务器的标准OpenVPN连接,甚至是专用的L2TP/IPSec连接都很快被打断或根本连不上,因为没有对协议本身进行反侦查处理。
为什么P2P下载要用VPN?
没有VPN帮助,绝大多数ISP都限制P2P流量,在国外P2P下载如果不匿名,可能会坐牢。
国内外电信网络运营商都限制P2P下载,要么限制端口,要么限流。这些限制的基本原理都是根据用户端IP地址出发的网络流量来判断用户是否在下载P2P资源。因为VPN能隐藏IP地址,这让ISP难以监控判断是否是P2P流量,而且一线VPN能将P2P流量分散到成百上千不同服务器上,使得流量在出口端很难被集中侦测到,回流流量又是加密的,所以开着VPN下载P2P资源,极难被限制。
开VPN下P2P,似乎国内的朋友感受不深,但在国外,因为版权法律严苛,随便下盗版资源是一件涉及人身安危的事,所以一个可靠的VPN几乎是必须的,实际上,这也是VPN软件在国外最大的用例之一,VPN技术的隐私保护能力相比其它代理技术更强大。
VPN软件是如何影响网速的?
VPN既能把网速变慢,也能把网速变快。
把网速变慢,是因为VPN底层技术要对网络包进行加密解密,产生额外工作量;还因为VPN连接会强制网络流量经过中间服务器,且这些服务器可能有多层,也会产生额外开销。
那为什么VPN能把网速变快呢?这就得从ISP的网络限速说起,电信网络运营商处于自身利益考虑,都会对单个用户速度设置一个上线,当用户的网速超过这个上限的时候,就自动降速。ISP判断用户网速的依据,往往是IP地址,因为VPN能隐藏IP地址,就会让ISP的速度侦测失去作用,达到了网络提速的效果。
Netflix
Netflix(奈飞)在全球有限几个区域(美国、英国、加拿大、日本、法国)提供视频订阅服务,非服务区(如中国)IP受限。
Hulu,BBC iPLayer,Amazon Prime Video,Kodi源有同样限制。
绝大多数VPN的IP地址都已被Netflix等厂商识别封锁 ,除了少数一线VPN。用户仍能通过它们连接到国外节点订阅观看Netflix等服务。
关于VPN价格
一个安全可靠的VPN,在GFW面前立于不败之地,需要投入。
购买并维护遍布全球网络骨干节点的VPN连接服务器,雇佣网络安全与加密学方面的技术专家不断改进混淆算法,雇佣多语言的7/24小时客服团队,雇佣开发团队维护升级适配多终端且体验良好的VPN客户端。
总之要提供安全可靠的VPN服务,绝不是买几台服务器这么简单,这是ExpressVPN和绝大多数所谓”便宜”VPN之间的根本区别。
一分钱一分货。
除了翻墙VPN还有哪些用途?
放心连接公共WIFI热点
火车站、机场、出租屋、公共办事机构大厅都可能提供公共“免费”WIFI热点,可惜这些WIFI系统的安全级别都不高,流量容易被恶意嗅探或劫持,VPN的流量加密机制,能保护你的上网隐私,即使第三方截获流量,也无法知道里面的内容。
绕过ISP网络限速
许多电信运营商都依据IP地址对接入用户网速进行限制,VPN能帮你隐藏真实IP地址,让这种限速机制无法工作。这对流媒体、P2P下载等应用很重要。
突破国外在线服务版权限制
国外非常多的在线服务都因为版权不对中国大陆(或任何版权受限区域)的IP地址开放,VPN提供的各国节点,能让你获得服务国的IP地址,正常享受这些服务。
翻墙回国内
有些VPN提供中国大陆节点,给身处海外的朋友翻墙回国享受国内版权限制的内容。具体可以看:海外听音乐。
我们是如何评测VPN的?
网上有很多中国VPN推荐的文章,参考了这些文章。我们的目的并非想从这些文章“总结”出一份准确的评测报告,我们只是想通过阅读别人的推荐给自己一个恰当的评测起点,因为VPN软件实在太多了!如果我们盲目随机地测试尽可能多的产品,恐怕测了半年也只是排除了几百个垃圾软件,却碰不到真正对我们的读者有意义的产品。
所以请理解,我们的评测是以网上许多作者的工作为基础的,在此,我们对他们深表感谢。
事实证明这是一个好策略,尽管我们深知网上推荐的可信度参差不齐,但我们也明白如果所有文章都在推荐同一款VPN,那么至少说明它值得我们花时间去认真了解。
我们的网站与一些产品厂商有合作关系,但我们推荐的前提并非与厂商的关系,更准确地说,是我们和厂商的合作关系是在我们评测完毕并决定推荐他们的产品后建立,而不是他们先给我们钱,我们才去推荐,请务必了解,我们的目标,是写出对我们的读者有意义的推荐文章。
回过来说中国VPN推荐,我们决定推荐的产品,每天、每周我们自己都在用,有的我们用得更多,如ExpressVPN,我们几乎一天24小时都挂着。
下面是我们从发现VPN产品,到评测,再到决定是否推荐的流程:
- 寻找可评测的候选VPN产品,来源包括三方VPN评测网站,社交媒体,周围的熟人朋友使用的VPN,厂商投放的产品广告
- 确定评测产品,一般我们不会立即开始评测一个只被少量提及的VPN软件,但我们会开始留意,如果一个VPN产品在多个渠道,长时间(两个月以上)出现在我们的视野里,我们才会正式评测
- 购买VPN,我们一般会先买一个月,一个月通常够我们在多种设备和上网场景下试用它,如果一个月不够我们了解它的性能,我们会再买一个月,直到我们能给出自信的结论:推荐还是不推荐。如果评测结束后决定推荐该产品,我们会买更长期
- 检查VPN提供商的背景, 还有就是VPN提供商的公司和团队是不是在中国,如果是,我们会中断评测;我们会仔细查看VPN App在应用商店里的用户评星和评论,如果发现提供商有大量刷评论行为,我们会中断评测;我们会搜索公司在互联网上的名声,历史上有没有数据泄露事件
- 在各个平台上使用,时间有限,我们目前只在Windows 10,MacOS(MBP 2017),iPhone,Android系统(小米)上安装使用被评测产品,路由器、游戏机、平板电脑,电视和其它或者不那么常用,或者和我们的测试设备同系统的,我们就不测试了
- 在使用中记录各项参数,客户端安装与易用性,服务器数量与连接是否稳定,流媒体速度,断线自动重连,各项反侦测与隐私保护高级功能,其中DNS防泄漏,Kill Switch等功能是我们关注的重点,因为这些功能直接关系到中国VPN用户的安全
- 我们会试探对方的客服,找在中国的朋友在早中晚给客服发消息,验证对方实际提供的客服是否达到厂商承诺的标准
- 在使用过一段时间后,如果VPN产品的稳定性和速度都达到能在中国日常使用的程度,我们会认为它是可推荐的中国VPN
最后我们要说,中国的GFW每天每月每年都在进化,在可期的未来,墙一定是越来越高,这意味着本文的内容可能不总是能随时保证100%准确,另外一方面,VPN软件市场是一个变化的市场,有的产品会死去,另一些产品会出现。
我们只能说尽力保持及时更新,请留意本文标题主图下方的更新时间,如有问题,请留言。
感谢作者。辛苦了
写的很详细,赞
竟瞎扯,为啥不讨论vmess、trojan和trojan-go呢?目前vmess已经能够识别出来了 ,更别说你说的那些旧的协议。会不会被墙,不在于是用哪个品牌的VPN,而是要看那个VPN用的是什么技术。目前就trojan和trojan-go不会被墙识别。那些还能用的协议,之所以还能用那都是因为 走的是IPLC/IEPL专线。这两种专线不是过墙的。。。。搞清楚一点在写文章好吧。
写的十分清楚,辛苦了。